Re: atualização de patches
Osvaldo Mundim Junior wrote:
Bom dia pessoal,
Bom Dia!
Gostaria de saber dos membros da lista que são administradores de rede, qual
ferramenta vcs usam para fazer atualização de patches de segurança nos micros
dos usuários. É uma tarefa ardua para quem tem cerca de 500 usuários em
diversas redes, e redes separadas fisicamente na maioria das vezes.
Com toda certeza! :)
No meu caso, tenho estações Linux, Windows e Sun (Solaris) como estações
clientes. O que estou procurando é algo do tipo: nos clientes fica um
programa que verifica se um certo servidor tem nova atualização disponível.
Vamos começar....
Sun (Solaris): Não entendo nada em relação à atualizações! Desculpa... nunca tive acesso à estas máquinas!
No caso do linux, acredito que você está utilizando o Debian correto?!
Assumindo que sim, podemos fazer uso daquela ferramenta excepcional
chamada apt-get. O que eu faria no teu lugar seria escolher uma destas
máquinas (a que você possuir acesso fisico mais facilitado) e
tranfomá-la em um repositório de pacotes, nunca fiz isso na prática, mas
acredito (com certeza) que um simples servidor de ftp ou até mesmo http
daria conta do recado. Pode ser mais ou menos assim:
1) Você faz um script que realize um apt-get update e um "apt-get -d
dist-upgrade" (pesquisa melhor isso de fazer cache dos pacotes)( a opção
"-d" tem por abjetivo baixar os pacotes atualizados sem instala-los,
note que desta forma a máquina responsável pelo repositório não será
atualizada, sendo necessária e aconcelhada uma intervenção física nesta
máquina no intúito de realizar as devidas atualizações antes da proxima
vez que o script rodar, para não baixar várias vezes o mesmo arquivo,
visto que é exatamente isto que estamos tentando evitar :). Copie estes
arquivos .deb para dentro do "root" do seu servidor de ftp (eles são
baixados em /var/cache/apt/archives), uma outra forma seria filtrar a
saída deste ultimo comando para dentro de um arquivo já concatenando
dentro de um camando wget ou ftp e baixando assim direto para o root do
teu servidor ftp local, mas assim acredito que terás muito mais trabalho
e menos confiabilidade!
2) Uma vez feito isto, adicionamos em todos os arquivos
/etc/apt/sources.list o caminho para o servidor ftp/http que está
dentro da nossa rede (a máquina que criamos no ítem 1) e realizamos o
apt-get dist-upgrade nestas máquinas. Aconcelho à deixar apenas o
caminho para este servidor no /etc/apt/sources.list, desta forma não
correrás o risco destas máquinas utilizarem o link Internet nem
solicitar os cds de instalação (ver OBS 1 Abaixo) para baixar e instalar
arquivos!
3) É isso ai! Deve funcionar... mas atente à algumas observações e
conselhos!
*Obs. 1: Seria muito interessante copiar todos os pacotes dos cds de
instalação para um sub-diretório do seu servidor de ftp/http. Desta
forma evita o uso de cds e outras mídias para cobrir possíveis
dependências e ainda de quebra pode instalar todas as novas máquinas
linux pela rede, dispensando custos com cds e outras mídias!*
*Obs. 2: Ainda é um desafio para os desenvolvedores Debian a atualização
totalmente automática de todos os pacotes, como já foi citado nas
noticias semanais Debian. Então esta solução não dispensa a intervenção
física nas máquinas para possíveis atualizações. Porém este processo se
tornará super rápido e pode ser feito (pelo seu número de máquinas)
durante algumas poucas oras depois do expediente ou aos sábados, etc...*
*Obs. 3: Pesquise um pouco mais sobre como fazer este cache de arquivos
(devem haver soluções melhores do que esta que vei à minha mente agora).
Deve, por exemplo, haver alguma forma de criar um espelhamento de
determinados mirros, tornando assim mais confiável ainda este nosso
sistema de atualizações e evita a Obs. 5!*
*Obs. 4: O arquivo sources.list pode ser feito apenas uma vez e copiado
para todas as máquinas! :)*
*Obs. 5: A máquina que servirá como servidor terá que ter instalado
todos os pacotes contidos nas outras máquinas! (isso pode ser uma grande
dor de cabeça dependendo do número de máquinas) Veja como implementar a
Obs. 3! Eu não sei!*
Caso sim, executa a patch.
Ver *Obs.2*
Nas estações Windows, não seria uma boa o "Windows Update" pq nein todos os
usuários da minha rede acessam internet. E num caso de uma atualização, essa
consulta a internet para baixar a patch comprometeria o meu link de internet.
Com relação à Microsoft, acho que você deveria utilizar do seu tão
dispendioso serviço de suporte para achar uma solução!
Eu cuido de 120 máquinas na minha faculdade e para mim está é a maior
dor de cabeça!
Por exemplo, eu precisei atualizar o IE 5 para o a versão mais nova. Só
consegui encontrar aquela porcaria de arquivo de 500 KB que depois faz
um download de 12 MB em cada máquina!!! Tive que esperar a faculdade
entrar em férias para atualizar! E mesmo baixando o famoso Service Pack
3 (no meu caso), ainda tive que baixar várias atualizações de segurança
anteriores ao lançamento do Service Pack 3, o que não faz muito sentido
ao meu ver, já que o Service Pack tem uns 150 MB + ou -! Detalhe: 150 MB
de Puro mistério!
Se você utiliza o Windows 98 ou Me, neste número de máquinas, ai te
aconselho severamente a mudar de emprego! :)
Desde já agradeço!
abraço
Osvaldo
Espero ter ajudado, deculpe as brincadeiras e erros de gramática!
bill
Reply to: